Analisar seu público para se comunicar melhor... quais são as regras?

Legal Watch nº 49 – Julho de 2022

Analisar seu público para se comunicar melhor... quais são as regras? Hoje, a mídia e as redes sociais permitem que as empresas analisem seu público para melhor segmentá-lo, melhorar sua imagem e adaptar sua estratégia de marketing.

Portanto, é possível, e cada vez mais comum, recorrer a uma empresa de "monitoramento de mídias sociais" que vasculha a web, acompanha as conversas mais relevantes nas redes sociais e fornece aos seus clientes relatórios e análises adaptados às suas necessidades.

Embora públicos, os dados assim analisados são frequentemente dados pessoais que permanecem protegidos pelo RGPD, quer se trate de influenciadores, jornalistas ou outras pessoas ativas nas redes sociais.

Quem deve cumprir essas obrigações?

Ao contratar um parceiro externo para avaliar como ele é percebido nas mídias sociais, a empresa cliente é considerada a controladora de dados do serviço contratado, e a empresa de monitoramento de mídia é a subcontratada.

As implicações são significativas, pois envolvem responsabilidade pela forma como os dados de mídia social são coletados, processados e armazenados.

É, portanto, aconselhável verificar vários elementos ao celebrar tal contrato, a fim de garantir que as práticas da empresa que realiza o “monitoramento de mídia” estejam em conformidade com o GDPR:

• Onde a empresa está localizada?

Se a empresa estiver estabelecida fora da UE, é importante verificar a lei aplicável, principalmente se a empresa não estiver localizada em um país que ofereça um nível adequado de proteção.

Neste caso, será necessário utilizar garantias específicas para assegurar a proteção dos dados, na maioria das vezes cláusulas contratuais padrão.

• A empresa fornece o nome e os detalhes de contato do seu DPO?

• Ela publica sua política de privacidade de proteção de dados em seu site ou ela pode ser disponibilizada mediante solicitação?

Observe que aqui é necessário fazer uma distinção entre a política de proteção de dados do site e a política de processamento de dados para serviços de monitoramento de mídia.

• Os seguintes detalhes estão incluídos neste documento e/ou no contrato?

• Funções respectivas como subcontratado ou controlador de dados, escopo das responsabilidades de cada pessoa;

• Condições de coleta de dados pessoais, fonte de dados, tipos de dados coletados e local de armazenamento, modo como esses dados são agregados ou pseudonimizados, quando aplicável;

• Base jurídica;

• Período de retenção de dados;

• Medidas de segurança e confidencialidade;

• Transferência de dados para fora da UE;

• Informações para as pessoas interessadas e métodos de exercício dos seus direitos.

É melhor confiar em empresas que fornecem o maior nível de detalhes sobre esses vários elementos.

Isso não isenta a empresa cliente de tomar medidas adicionais como controladora de dados.

No que diz respeito, em particular, à informação das pessoas em causa, pode considerar-se que a informação directa implica esforços desproporcionados.

No entanto, um aviso informativo pode ser adicionado à política de proteção de dados do site, informando o público em geral sobre as análises de público realizadas, especificando as diversas responsabilidades e direitos e referindo-se ao site do parceiro externo para obter mais detalhes.

E também

França:

A CNIL publicou sua posição sobre câmeras aumentadas em 19 de julho e apela a uma reflexão global sobre a utilização adequada destas ferramentas nos espaços públicos.

A Comissão aponta para o risco de vigilância e análise generalizadas que poderiam, em resposta, modificar o comportamento das pessoas que andam na rua ou vão às lojas.

Ela ressalta que a lei francesa não autoriza o uso de câmeras aumentadas por autoridades públicas para detecção e repressão de delitos e acredita que é necessário estabelecer limites para nunca usar essas câmeras com a finalidade de "classificar" pessoas.

Em 26 de julho, a CNIL publicou recomendações sobre controle de idade em sites: Ela exige o desenvolvimento de soluções mais eficazes e favoráveis à privacidade, com referência ao uso de cartões bancários e reconhecimento facial.

Também apoia o desenvolvimento do papel de terceiros confiáveis.

A CNIL também impôs uma multa de 175.000 euros à empresa Ubeeqo International em 21 de julho. empresa de aluguel de carros, em especial por ter causado uma invasão desproporcional da privacidade de seus clientes ao geolocalizá-los quase permanentemente.

Europa:

Os dois regulamentos europeus sobre mercados e serviços digitais (DMA e DSA) foram adotados pelo Parlamento Europeu em 5 de julho por uma maioria muito ampla.

O DMA também foi finalmente aprovado pelo Conselho em julho, enquanto o DSA deve ser aprovado em novembro.

A Comissão já está considerando a criação de uma divisão especializada para garantir a conformidade com o DMA pelos gigantes digitais.

O Conselho Europeu de Proteção de Dados (EDPB) respondeu à coleta de dados pessoais pelo TikTok em uma carta de 28 de julho a várias ONGs.

Ele destaca a rápida ação tomada pelas autoridades de supervisão irlandesas, italianas e espanholas após o anúncio do TikTok de que não solicitaria mais o consentimento dos usuários para enviar anúncios personalizados (a base legal se tornando o interesse legítimo do TikTok e seus parceiros).

Após essas ações, o TikTok anunciou que estava suspendendo essa mudança de base legal.

O Comitê também tomou posição com a Autoridade Europeia para a Proteção de Dados (EDPS) sobre a regulamentação proposta para prevenir e combater o abuso sexual infantil.

A proposta visa impor obrigações a vários serviços da web relacionados à detecção, denúncia, remoção e bloqueio de material de abuso sexual infantil (CSAM) online e solicitação de crianças.

Ao mesmo tempo em que lembram que consideram esses crimes particularmente graves e hediondos, as autoridades de supervisão observam que a natureza intrusiva da proposta, em sua forma atual, pode apresentar mais riscos para os indivíduos e, por extensão, para a sociedade como um todo, do que para os criminosos processados pelo CSAM.

O CEPD e o AEPD emitiram seu parecer sobre a proposta da Comissão Europeia para o Espaço Europeu de Dados de Saúde (EHDS).

A proposta visa criar uma "União Europeia da Saúde" "utilizando plenamente o potencial oferecido pela troca, uso e reutilização seguros de dados de saúde".

O parecer destaca, em particular, os riscos associados ao uso secundário de dados eletrônicos de saúde, que pode gerar benefícios para o bem público, mas não está isento de riscos para os direitos e liberdades dos indivíduos.

O CEPD publicou sua posição sobre transferências para a Rússia em 12 de julho.

O Comitê não comenta a evolução do nível de proteção de dados neste país desde o início da guerra, mas ressalta que as transferências devem ser submetidas a uma análise de impacto caso a caso.

O Tribunal de Justiça da União Europeia publicou um importante acórdão em 1º de agosto sobre o escopo da proteção de dados sensíveis.

O conceito de “categorias especiais” de dados pessoais deve ser interpretado de forma ampla, em particular para garantir que o objetivo do Art. 9(1) GDPR seja alcançado.

A lei lituana em questão, relativa à prevenção de conflitos de interesse e corrupção, exigia a publicação do nome do parceiro do funcionário público.

O Tribunal concluiu que essas informações poderiam revelar informações sobre a vida sexual ou orientação do policial e de sua parceira.

Na Noruega, a autoridade de proteção de dados iniciou uma cooperação com sindicatos para monitorar a vigilância por câmeras no local de trabalho.

O Comité de Recursos da Autoridade concordou ainda que uma empresa adquirente assume a responsabilidade pelo controlador de dados pré-aquisição, e confirmou a decisão de multá-lo em aproximadamente € 12.000 por pontuação de crédito ilegal em violação do Artigo 6(1) do RGPD (via GDPRhub)

A Autoridade de Proteção de Dados da Baixa Saxônia multou a Volkswagen em um milhão de euros por violações de proteção de dados no uso de um veículo de teste com câmeras. destinado a melhorar os sistemas de assistência ao motorista e prevenção de acidentes.

O carro de teste foi conduzido sem nenhuma informação visível no campo de vigilância das câmeras.

A DPA dinamarquesa repreendeu a Autoridade de Dados de Saúde por não testar seu banco de dados de medicamentos. para detectar erros de arquitetura de serviço, o que levou a uma violação de dados que afetou 267 indivíduos (via GDPRhub).

A DPA também repreendeu o Município de Helsingør por usar o Google Chromebooks e o "Google Workspace for Education" em escolas primárias.

Ela proibiu esse processamento até que esteja em conformidade com o GDPR e suspendeu quaisquer transferências de dados relacionadas aos Estados Unidos (via GDPRhub).

Em uma nota relacionada, na Holanda, alunos e funcionários agora estão sendo direcionados ao DuckDuckGo para suas pesquisas na internet em vez do Google Search.

A Autoridade Eslovena de Proteção de Dados reclassificou um acordo entre um provedor de serviços de nuvem e seus clientes: constatou que não havia uma relação controlador/processador, mas sim responsabilidades compartilhadas., uma vez que ambas as partes tomaram decisões sobre as finalidades e meios de processamento (via GDPRhub)

A Câmara de Contratação Pública de Baden-Württemberg observa que a transferência de dados pessoais para um país terceiro (fora da UE) é inadmissível de acordo com o GDPR., mesmo que o servidor correspondente seja operado por uma empresa sediada na UE, desde que faça parte de um grupo americano.

Internacional:

A ONG Data Rights e suas organizações parceiras quenianas, a Comissão de Direitos Humanos do Quênia e o Fórum de Direitos da Núbia, estão processando a IDEMIA, uma empresa francesa líder em tecnologia biométrica, no tribunal de Paris..

Essas organizações acusam a IDEMIA de não ter levado em consideração os direitos humanos em seu plano de vigilância sobre a captura de dados biométricos da população para o desenvolvimento de um sistema nacional de identificação digital no Quênia.

O Daily Mail de 13 de julho discute o uso de inteligência artificial pela China para "melhorar" o funcionamento de seus tribunais: Os computadores corrigiriam erros humanos percebidos em um veredito, exigindo que os juízes enviassem uma explicação por escrito à máquina caso discordassem das correções da IA.

A Grã-Bretanha e os Estados Unidos começarão a compartilhar dados relacionados a investigações policiais em outubro, como parte de um acordo CLOUD entre os dois países.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.